189/67 (IT) ประจำวันอังคารที่ 28 พฤษภาคม 2567
Cisco จัดการกับช่องโหว่ CVE-2024-20360 (คะแนน CVSS 8.8) ในอินเทอร์เฟซการจัดการบนเว็บของซอฟต์แวร์ Firepower Management Center (FMC) ซึ่งช่องโหว่นี้คือ ปัญหาการแทรก SQL ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องเพื่อรับข้อมูลใด ๆ จากฐานข้อมูล รันคำสั่งที่กำหนดเองบนระบบปฏิบัติการพื้นฐาน และยกระดับสิทธิ์ไปที่ root โดยผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ก็ต่อเมื่อมีข้อมูลประจำตัวผู้ใช้แบบอ่านอย่างเดียวเป็นอย่างน้อย
“ช่องโหว่ในอินเทอร์เฟซการจัดการบนเว็บของซอฟต์แวร์ Cisco Firepower Management Center (FMC) อาจทำให้ผู้โจมตีระยะไกลที่ได้รับการตรวจสอบสิทธิ์สามารถทำการโจมตีแบบ SQL injection บนระบบที่ได้รับผลกระทบ ช่องโหว่นี้มีอยู่เนื่องจากอินเทอร์เฟซการจัดการบนเว็บไม่ได้ตรวจสอบอินพุตของผู้ใช้งานอย่างเพียงพอ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ โดยการรับรองความถูกต้องของแอปพลิเคชันและส่งแบบสอบถาม SQL ที่จัดทำขึ้นไปยังระบบที่ได้รับผลกระทบ การใช้ประโยชน์ที่ประสบความสำเร็จอาจทำให้ผู้โจมตีสามารถรับข้อมูลใด ๆ จากฐานข้อมูล รันคำสั่งที่กำหนดเองบนระบบปฏิบัติการพื้นฐาน และยกระดับสิทธิ์ในการ root เพื่อใช้ประโยชน์จากช่องโหว่นี้ ผู้โจมตีจะต้องมีข้อมูลประจำตัวผู้ใช้แบบอ่านอย่างเดียวเป็นอย่างน้อย”
บริษัท Cisco ระบุว่ายังไม่มีวิธีการแก้ไขใด ๆ ที่จะแก้ไขช่องโหว่นี้ แต่บริษัทยืนยันว่าช่องโหว่นี้ไม่ส่งผลกระทบต่อซอฟต์แวร์ Adaptive Security Appliance (ASA) หรือซอฟต์แวร์ Firepower Threat Defense (FTD) ทีมตอบสนองเหตุการณ์ด้านความปลอดภัยของผลิตภัณฑ์ Cisco (PSIRT) ไม่ทราบว่ามีการโจมตีแบบกระจายโดยใช้ช่องโหว่นี้